Morphing Meerkat : un acteur malveillant sème le chaos avec du phishing-as-a-service - Actus du 31/03/2025
Découvrez comment des pirates exploitent les plugins WordPress mu pour injecter du spam et détourner des images. Protégez votre site dès maintenant ! De plus, que devient votre ADN numérique si l'entreprise qui le stocke disparaît ? Plongez dans ces enjeux cruciaux de la cybersécurité et de la...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Alerte – Des pirates exploitent les plugins WordPress mu pour injecter du spam et détourner des images de sites
Des cybercriminels exploitent le répertoire « mu-plugins » des sites WordPress pour dissimuler du code malveillant, permettant un accès à distance et redirigeant les visiteurs vers des sites frauduleux. Les mu-plugins, qui s'exécutent automatiquement sans activation, sont moins visibles pour les utilisateurs, rendant leur détection difficile lors des contrôles de sécurité. Selon Sucuri, trois types de code PHP malveillant ont été identifiés : un script redirigeant vers des sites externes, un autre permettant l'exécution de code arbitraire, et un dernier injectant du spam sur les sites infectés. Le script de redirection se fait passer pour une mise à jour de navigateur pour tromper les utilisateurs. Les sites piratés sont également utilisés pour diffuser des malwares comme Lumma Stealer et pour siphonner des informations financières. Les vulnérabilités exploitées incluent des failles dans des plugins et thèmes populaires, avec des scores CVSS atteignant jusqu'à 10. Pour se protéger, il est crucial que les propriétaires de sites WordPress mettent à jour régulièrement leurs plugins, vérifient le code pour détecter les malwares, utilisent des mots de passe forts et installent des pare-feu pour contrer les attaques.
Sources :
Que devient votre ADN quand l’entreprise qui le stocke n’existe plus ?
La faillite de 23andMe, entreprise pionnière des tests ADN, soulève des préoccupations majeures concernant la gestion des données biométriques sensibles. Suzanne Button, CTO chez Elastic, met en lumière les risques liés à la confidentialité et à la gouvernance des données lorsque des entreprises disparaissent. Les données personnelles, y compris l'ADN, peuvent être vendues lors de la liquidation d'une entreprise, ce qui pose la question de leur utilisation future sans consentement. Les nouveaux propriétaires des données ne sont pas nécessairement tenus de respecter les promesses de confidentialité initiales, augmentant le risque de dé-anonymisation et de discrimination dans des domaines comme l'assurance et l'emploi. Bien que 23andMe offre une option de suppression des données, le processus peut être complexe et, en cas de faillite, les utilisateurs pourraient perdre cette possibilité. Les consommateurs sont encouragés à rester informés, à revoir leurs paramètres de confidentialité et à plaider pour une réglementation renforcée sur la protection des données. La situation de 23andMe sert d'avertissement sur l'importance de la transparence des entreprises et de la nécessité de protections législatives adaptées à l'ère numérique, car nos données ADN représentent bien plus que de simples informations.
Sources :
Les pirates exploitent WordPress Mu-Plugins pour injecter des images de sites de spam et de détournement
Des acteurs malveillants exploitent le répertoire "mu-plugins" des sites WordPress pour dissimuler du code malveillant, permettant un accès à distance persistant et redirigeant les visiteurs vers des sites frauduleux. Les mu-plugins, ou plugins à usage obligatoire, s'exécutent automatiquement sans activation via le tableau de bord, ce qui en fait un emplacement idéal pour le malware. Selon l'analyse de la chercheuse Puja Srivastava de Sucuri, cette méthode est préoccupante car ces plugins ne figurent pas dans l'interface standard de WordPress, rendant leur détection plus difficile lors des vérifications de sécurité. Trois types de code PHP malveillant ont été identifiés : "redirect.php" redirige les visiteurs vers des sites externes, "index.php" permet l'exécution de code arbitraire, et "custom-js-loader.php" injecte du spam sur le site. Les sites compromis sont également utilisés pour exécuter des commandes PowerShell malveillantes sous prétexte de vérifications CAPTCHA. Les vulnérabilités exploitées incluent des failles critiques dans divers plugins et thèmes. Pour se protéger, les propriétaires de sites WordPress doivent maintenir leurs plugins à jour, auditer régulièrement leur code, utiliser des mots de passe forts et déployer un pare-feu d'application web.
Sources :
⚡ Récapitulatif hebdomadaire: Chrome 0-jour, IngressnightMare, Bugs solaires, tactiques DNS, et plus encore
L'article met en lumière plusieurs vulnérabilités de sécurité, dont la plus critique est CVE-2025-1974, avec un score CVSS de 9.8, permettant à un attaquant non authentifié d'exécuter du code arbitraire via le contrôleur ingress-nginx. Parallèlement, KELA a identifié les véritables identités de Rey et Pryx, acteurs clés des opérations de ransomware Hellcat. Des groupes de hackers chinois ont ciblé des organisations aux États-Unis et au Mexique pour déployer des malwares comme ShadowPad et SparrowDoor. Une nouvelle opération de phishing, Morphing Meerkat, utilise des enregistrements DNS MX pour créer des pages de connexion frauduleuses imitant 114 marques. La liste des vulnérabilités inclut également des failles dans Google Chrome, Mozilla Firefox, et d'autres logiciels. Le procureur général de Californie a émis une alerte sur la confidentialité, conseillant aux utilisateurs de supprimer leurs données génétiques. Le FBI a averti que certains outils de conversion peuvent contenir des malwares, compromettant des données sensibles. En Russie, des APK malveillants circulent via Telegram pour voler des informations personnelles. Enfin, des groupes criminels comme Scattered Spider exploitent des techniques de manipulation sociale pour extorquer des victimes, notamment sur des plateformes comme Discord.
Sources :
5 vulnérabilités AWS percutantes dont vous êtes responsable
L'utilisation d'AWS peut donner l'illusion que la sécurité du cloud est entièrement gérée, mais cela constitue une erreur dangereuse. AWS assure la sécurité de l'infrastructure sous-jacente, mais la responsabilité de la protection des données, des applications et des configurations incombe au client. Par exemple, les attaques comme le Server-Side Request Forgery (SSRF) peuvent toujours cibler des applications hébergées sur AWS. Pour se défendre contre de telles menaces, il est crucial de scanner régulièrement les vulnérabilités et d'activer AWS IMDSv2 pour renforcer la sécurité. Les clients doivent également veiller à ce que les utilisateurs et systèmes n'aient accès qu'aux ressources nécessaires. En déployant des instances EC2, la mise à jour du système d'exploitation et des logiciels est entièrement de leur ressort. Par exemple, un serveur GitLab sur AWS doit être sécurisé derrière un VPN ou un pare-feu. En négligeant ces responsabilités, une organisation s'expose à des risques importants. En résumé, la sécurité dans le cloud nécessite une vigilance active et des outils appropriés. Intruder propose une solution complète pour gérer les vulnérabilités et améliorer la sécurité cloud, avec une interface simple et des coûts prévisibles.
Sources :
Morphing Meerkat, un acteur malveillant sème le chaos avec une plateforme de phishing-as-a service sophistiquée
Infoblox Threat Intel a découvert une plateforme de Phishing-as-a-Service (PhaaS) nommée Morphing Meerkat, qui représente une menace sérieuse pour les entreprises. Cette plateforme utilise des enregistrements DNS d’échange de courrier (MX) pour créer des pages de connexion frauduleuses, permettant aux cybercriminels de voler les identifiants des victimes. Lorsqu'un utilisateur clique sur un lien de phishing, le kit identifie le fournisseur de services de messagerie et affiche une fausse page de connexion, rendant l'attaque très crédible. Morphing Meerkat propose plusieurs fonctionnalités, telles que le vol d’identifiants, la redirection vers la véritable page de connexion après des tentatives infructueuses, et un ciblage international grâce à la traduction automatique. La plateforme contourne également les systèmes de sécurité traditionnels, rendant les attaques accessibles même aux cybercriminels peu expérimentés. Les conséquences peuvent être graves, avec des infiltrations dans les réseaux d'entreprise et des exfiltrations de données sensibles. Pour se protéger, les entreprises doivent renforcer leur sécurité DNS, contrôler les accès aux serveurs malveillants et réduire les services superflus sur leur réseau, diminuant ainsi leur surface d’attaque. Morphing Meerkat illustre l'ingéniosité des cybercriminels dans l'exploitation des failles existantes.
Sources :
Gamaredon lié à la Russie utilise des leurres de troupes pour déployer Remcos Rat en Ukraine
Des entités en Ukraine ont été ciblées par une campagne de phishing visant à distribuer un cheval de Troie d'accès à distance, le Remcos RAT. Selon un rapport de Cisco Talos, les fichiers malveillants utilisent des mots russes liés au mouvement des troupes en Ukraine pour tromper les victimes. Un téléchargeur PowerShell contacte des serveurs géo-restreints en Russie et en Allemagne pour récupérer un fichier ZIP contenant le backdoor Remcos. Cette activité est attribuée avec une confiance modérée à un groupe de hackers russe connu sous le nom de Gamaredon, lié aux services de sécurité fédéraux russes (FSB) et actif depuis 2013. La campagne utilise des fichiers de raccourci Windows (LNK) déguisés en documents Microsoft Office, envoyés par e-mails de phishing. Les fichiers LNK contiennent du code PowerShell pour télécharger et exécuter un chargement malveillant. Parallèlement, une autre campagne de phishing, détaillée par Silent Push, cible des individus russes sympathisants de l'Ukraine, en se faisant passer pour des organisations comme la CIA. Ces pages de phishing, hébergées par un fournisseur de services, collectent des informations personnelles sur les victimes, suggérant une implication des services de renseignement russes ou d'acteurs alignés sur leurs intérêts.
Sources :
Le pouvoir russe tente de piéger ses opposants en imitant la CIA sur le web
Un rapport de Silent Push, publié le 27 mars 2025, révèle l'existence d'un réseau de sites frauduleux imitant des plateformes officielles de groupes d'opposition et de services ukrainiens, ainsi que de la CIA. Ces faux sites ciblent des internautes cherchant à rejoindre des groupes paramilitaires comme Legion Liberty ou le Corps des volontaires russes. Parmi les exemples, legiohliberty[.]army et rusvolcorps[.]net usurpent les identités de leurs homologues légitimes. Un autre site, hochuzhitlife[.]com, se fait passer pour l'initiative ukrainienne « Je veux vivre », tandis que ciagov[.]icu prétend représenter la CIA. Ces pages incitent les visiteurs à fournir des informations personnelles, exposant ainsi les individus à des représailles potentielles. Les experts estiment que cette opération de phishing est orchestrée par des services de renseignement russes, profitant de la répression croissante contre l'opposition en Russie depuis l'invasion de l'Ukraine en 2022. Les faux sites sont également favorisés dans les résultats de recherche sur Yandex, et leur nombre augmente, rendant l'anonymat de plus en plus difficile à préserver en Russie, où le Kremlin continue de restreindre l'accès aux outils de contournement.
Sources :
Microsoft teste le nouvel outil Windows 11 pour corriger à distance les accidents de démarrage
Microsoft teste un nouvel outil pour Windows 11, appelé Quick Machine Recovery, qui vise à corriger à distance les problèmes de démarrage causés par des pilotes défectueux ou des configurations erronées. Cet outil fait partie de l'Initiative de Résilience de Windows, qui cherche à améliorer la stabilité du système et à réduire les temps d'arrêt grâce à des outils automatisés. En cas de défaillance, les appareils peuvent se retrouver bloqués dans l'environnement de récupération de Windows (Windows RE), ce qui nuit à la productivité et nécessite souvent une intervention manuelle des équipes informatiques. Quick Machine Recovery permet à Microsoft de déployer des correctifs ciblés via Windows RE, facilitant ainsi la restauration rapide des appareils affectés. Actuellement, cet outil est disponible pour les utilisateurs du canal Beta de Windows Insider. Lorsqu'un problème survient, le système redémarre en mode de récupération et active l'outil, qui envoie des données de plantage aux serveurs de Microsoft pour analyser et appliquer des corrections, comme la suppression de pilotes problématiques. Cette fonctionnalité sera intégrée par défaut dans Windows 11 Home, tandis que les versions Pro et Enterprise pourront être personnalisées. Un package de remédiation sera bientôt testé par les Insiders.
